対応の要否と期限を決める #
報告された問題に対して、対応するかの要否や対応期限を決めてください。この2点を決めることで検出された問題に対して一定の基準を元に対応を円滑に行うことができます。 対応要否や対応期限については、前節で説明した優先度マトリックスの評価結果を参考に検討してみてください。下記の表では優先度マトリックスの結果を元に対応要否や対応期限を決めた場合の例となります。
優先度マトリックスによる対応要否と対応期限の例
| 対応要否 | 対応期限 | |
|---|---|---|
| 優先度緊急 | 対応する | 1~2営業日以内に対応 |
| 優先度高 | 対応する | 1週間以内に対応 |
| 優先度中 | 対応する | 3ヶ月以内に対応 |
| 優先度低 | 現状対応しない | 次回のシステム更改のタイミングで対応し、現システムでは対応しない |
また、これ以外にも対応要否や対応期限を決めるいくつかのパターンを例として下記に記載しています。なお、本節で提示しているパターンは簡易な対応であり、より高度な対応について知りたい方は4章を参照してください。
対応の要否
- 脆弱性の危険度を基準に判断
- 危険度が中以上の場合は対応する
- CVSSのスコアが3.9以下の場合は対応しない
- 資産や規模の影響度を基準に判断
- 組織内での価値が高いシステムやデータに影響がある場合には対応する
- サービスへの影響度合いが小さい場合には対応しない
- 攻撃の影響をすぐに受けるかを基準に判断
- 攻撃の事例が観測されており、JPCERT/CCなどで広く注意喚起されているので対応する
- 外部からアクセスでき、すぐに攻撃を受ける可能性がある場合には対応する
- 脆弱性の危険度を基準に判断
対応期限
- 何日以内にやるかなど日数で決めるパターン
- 毎月の月末にやるなど特定の時期で決めるパターン
- 影響度合いから決めるパターン
- 即時、次回メンテナンスなどイベント単位で決めるパターン
補足
対応要否に用いる危険度の基準についてはIPAが公開している「ECサイト構築・運用セキュリティガイドライン」の下記の記載を参考にしてみてください。利用しているソフトウェア等について、脆弱性情報を収集し、脆弱性の危険度が「高」の脆弱性については迅速に、危険度「中」は公開までにセキュリティパッチの適用や最新版へのバージョンアップによるアップデートを実施してください。
それ以外の脆弱性については、セキュリティパッチの適用や最新版へのバージョンアップを行うかどうかを、脆弱性によるシステムへの影響等を考慮して判断してください。